Poco più di una settimana fa è stata rilasciata la notizia di una nuova campagna di spear phishing contro gli utenti di Microsoft Office SharePoint. Il gruppo di ricercatori di Cofense ha analizzato la campagna di e-mail che colpisce gli utilizzatori del servizio, notando un’accurata ricerca nel rendere il contenuto quanto più fedele e ingannevole possibile. Non è una novità che la piattaforma di Microsoft venga presa di mira da attacchi di questa tipologia, l’ultimo dei quali era avvenuto nel dicembre scorso, come riportato da Threatpost.
Il phishing sta diventando rapidamente uno dei canali per raggiungere le vittime più utilizzati e redditizi. Infatti, è davvero semplice imitare grafiche e contenuti dei mittenti originali conducendo una campagna poco costosa su ampia scala. Inoltre, le tecniche di pressione psicologica del social engineering sono sempre più efficaci e gli utenti ancora in difficoltà nel riconoscere la liceità dei messaggi.
Il contenuto della e-mail è semplicemente un documento memorizzato nella piattaforma di Microsoft che necessiterebbe di una firma digitale. La notizia, forse, più eclatante del fatto è che la protezione data dal security e-mail gateway (SEG) sembrerebbe vana, pur essendo lo stesso un prodotto Microsoft. Sia questa che la precedente campagna utilizzano entrambe la tecnica di spoofing dallo stesso dominio. Questo vuol dire che l’attaccante è in grado di realizzare una e-mail che sembrerebbe provenire da un dominio lecito (in questo caso Microsoft). Tuttavia, i nuovi meccanismi di autenticazione delle e-mail come DMARC evitano l’uso non autorizzato di nomi di dominio per gli attacchi spoofing. Il problema, tuttavia, è che i SEG di Microsoft non forzano l’attivazione di DMARC, vanificando la protezione dei propri utenti.
Nella mail è presente una grafica indicante un documento con un collegamento al presunto SharePoint che lo contiene. Si parla, inoltre, di una richiesta “urgente” di firma del documento che in questi tempi di smart working è diventato quasi la norma per ogni lavoratore. Una volta cliccato nel link presente nella e-mail, si arriva ad una pagina web con un riquadro per l’inserimento delle proprie credenziali. A questo punto il gioco è fatto: gli attaccanti avranno recuperato le nostre informazioni personali e all’utente verrà mostrato un documento come se l’operazione fosse andata a buon fine.
In realtà, ad un occhio ben attento, la campagna di spear phishing può essere facilmente individuabile: vediamo come. Innanzitutto, il messaggio di grande urgenza e la richiesta di firma di un documento digitale con sollecitudine dovrebbero già farci scattare delle allerte, non essendo tipico di e-mail automatiche inviate da Microsoft. La pressione psicologica sulla vittima è infatti una delle tecniche più efficaci, perché sottopressione perdiamo di lucidità.
Anche il testo lascia pensare, per via del linguaggio utilizzato, non estremamente adeguato al contenuto e per via della mancanza dell’utenza a cui è destinato. Non essendoci un destinatario accluso al testo (ad esempio l’e-mail dell’utente che deve firmare), ciò potrebbe farci pensare ad una campagna massiva. Infine, nella presunta pagina di SharePoint, troviamo svariati elementi estremamente preoccupanti: la mancanza di un tema Microsoft (a parte il logo SharePoint), il contenuto oscurato (che tipicamente non è presente in queste piattaforme) e il titolo della pagina (“Pending File”), tutti fattori d’allarme.
In conclusione, ogni campagna di phishing per quanto credibile può essere smascherata prestando la giusta attenzione. In aggiunta, abbiamo sempre le nostre regole che ci aiutano a individuare i falsi mittenti:
Con un po’ di esperienza ognuno di noi potrà farsi trovare preparato e difendersi dalle campagne di phisihing sempre più diffuse.